Active Directory
Windows Servery
Infrastruktura
Postranní lišta
Windows Firewall: Které pravidlo blokuje spojení?
Pokud je spojení z neznámého důvodu blokováno (nebo povoleno), tak může vzniknout potřeba najít pravidlo, kterým k nežádoucímu stavu dochází.
Tipy pro troubleshooting
- Při existenci jakéhokoliv FW pravidla, které je vytvořeno přes AD GPO a nedostupném řadiči domény automaticky nefunguje nové lokálně vytvořené FW pravidlo. Je potřeba obnovit připojení na řadič domény a GPO načíst a aplikovat (
gpupdate /force). - FW pravidla mají „nevyjádřenou prioritu“ - čím více je pravidlo specifické (detailní), tím má vyšší prioritu.
Vyhledání FW pravidla
- Zapnout auditování zahozených spojení příkazem
auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:enable - Reprodukovat problém
- Spustit příkaz
netsh wfp show state, ten vyexportuje všechny rules do .XML souboru. - V security logu najít zahozený paket, tam rule ID a v .XML souboru najít podle rule ID pravidlo, které způsobilo zahození paketu.
- Auditování spojení podle potřeby vypnout příkazem
auditpol /set /subcategory:„Filtering Platform Packet Drop“ /success:disable /failure:disable
Security log, Filter Run-Time ID
Log Name: Security Source: Microsoft-Windows-Security-Auditing Date: 30.12.2021 5:56:38 Event ID: 5152 Task Category: Filtering Platform Packet Drop Level: Information Keywords: Audit Failure User: N/A Computer: WL354191.xxx Description: The Windows Filtering Platform has blocked a packet. Application Information: Process ID: 4 Application Name: System Network Information: Direction: Inbound Source Address: 192.168.0.1 Source Port: 33296 Destination Address: 192.168.0.130 Destination Port: 137 Protocol: 17 Filter Information: Filter Run-Time ID: 1515918 Layer Name: Receive/Accept Layer Run-Time ID: 44
XML soubor, filterId
. . <action> <type>FWP_ACTION_BLOCK</type> <filterType/> </action> <filterId>1515918</filterId> . .
wf-drop.txt · Poslední úprava: 2021/12/30 15:51 autor: Jiří Schuster